VMware се фокусира върху разширяване на екипите си в България

Друг сложен проблем, който виждаме през последната година, е разрастването на инсталираното оборудване за домашен офис, тъй като все повече служители работят от вкъщи. Бизнесът вече се прави в рамките на интернет мрежи за дома, които стават част от тенденцията за работата отвсякъде и по всяко време. Това обаче доведе и до мащабно увеличаване на атаките по целия свят. Екипите преструктурират своите стратегии за сигурност, така че да отчитат този нов свят на работа отвсякъде.

Това увеличение, което виждате, се дължи на пандемията или на по-умелите и по-способни нападатели?

Рик Макелрой: Всъщност мисля, че и двете тези са верни. Първо, пандемията наистина ускори стратегическите усилия за преодоляване на пропастта от липсващи умения в киберсигурността. Много от екипите за сигурност бяха доста напреднали в предоставянето на възможности за отдалечена работа на служителите. Имаше обаче и много организации по света, които трябваше тепърва да въвеждат дистанционната работа, а сега очакванията за този формат се развиват. Повечето служители вероятно няма да се върнат в своите офиси и много компании преструктурират процесите си, включително за задачи като привличане на таланти, и това е валидно за всички индустрии.

Мисля, че някои компании се страхуваха от отдалечена работа заради опасенията от намалена продуктивност, но всъщност в някои случаи продуктивността на работната сила се е увеличила. Така че компаниите получават същите резултати, които са имали и преди, а намират и редица икономически предимства, тъй като не трябва да плащат за недвижими имоти или могат да намалят настоящите си инвестиции в офис пространства.

Как мениджърите по информационна сигурност (т.нар. CISO) трябва да се подготвят за киберзаплахите през 2021 г. и нужна ли им е подкрепата на висшето бизнес ръководство за внедряване на култура по киберсигурността, за модернизиране на архитектурата на корпоративната сигурност, за изграждане на сигурност без граници?

Рик Макелрой: Всъщност виждаме подновяване на обучението за повишаване на осведомеността относно сигурността и начина, по който то се провежда. Едно от наблюденията на екипите по сигурността по време на пандемията беше, че когато хората се завръщат в офиса, започват да прилагат политиките за сигурност, за които са обучени, и те вече са наясно как да взаимодействат с компютрите по безопасен начин.

По време на пандемията сигурността се превърна във водещ мотив в организациите и имаше много промени в тази област, които се случиха за много кратък период от време. Хората се нуждаеха от достъп от различни места с нови системи, които да им бъдат предоставени, така че лидерите по сигурността трябваше да се справят и с тези предизвикателства. Сега техните организации ги разглеждат като лидери наравно с ИТ директорите, финансовите директори и други. Мисля, че трябва непрекъснато да изграждаме тази култура "отгоре надолу", така че изпълнителният директор и членовете на борда да определят тази култура. Те трябва да зададат правилните въпроси на своя екип по сигурността и да гарантират, че това е формат, който се развива с течение на времето, тъй като предизвикателствата и рисковете се променят.

Това, което ми харесва в сферата на сигурността през последните 5-6 години, е нейната демократизация. Днес има безплатни онлайн курсове, има по-евтини решения за управление на защитата на съдържанието, интегрирани функции като автентикацията (удостоверяването на потребителя). Ако потребителят например не е преминал през минимален брой обучения, неговото влизане в системите започва да се ограничава или дори се изключва, а това е процес, който не сме свързвали преди със системите за сигурност. Това е положително развитие, когато става въпрос за обучение на работната сила, и изключителна възможност да научите нови умения за сигурност, приложими навсякъде.

Чували сме за регулаторни изисквания към изграждането на инфраструктура и приложения на принципа "сигурност по дизайн" (Security by Design). По-лесно ли се защитават такива системи с решения на VMware?

Рик Макелрой: Много често се случва така, че не можете да получите контрол над една консолидирана работна структура. Имате група системи, които трябва да контролирате и да защитавате. Специалистите трябва да разработват, да поддържат и да надграждат всичко да работи заедно. Обаче през последните 20 години задачата на екипите по управление на сигурността се усложни. Тази сложност доведе до необходимото унифициране, но липсва стъпката за предотвратяване или за засичане на кибератаките. Деветдесет и осем процента от екипите сега разглеждат "сигурността по дизайн" и сигурността в облака, за да постигнат две неща - да облекчат сложността и да опростят операциите по сигурността, които стават твърде комплексни.

Мисля, че компании като VMware работят върху този фундаментален проблем - как можем да предоставим сигурност и да я насочим към жизнения цикъл на софтуерния дизайн. Това означава представяне на насоки за разработчици, докато създават код и функционалност за проверка и оценка, докато кодът се въвежда в експлоатация. Така че нашата стратегия за присъща сигурност е фокусирана върху това. Чрез нея технологиите за сигурност се вграждат в инфраструктурата така, че да останат неизменна част от нея, но има още нещо, което можем да направим.

Тази комплексност доведе до тенденцията сигурността да не се разгръща в края на жизнения цикъл на технологията, а да се вгражда от самото начало. Още докато създаваме ново облачно работно натоварване и го местим в друг, по-евтин облак, сигурността трябва да е неизменна. След като има данни и интелигентна защитена инфраструктура, може да започнат да се предприемат действия на ниво мрежа, на ниво приложение, на ниво идентичност, на ниво крайно устройство. На тази база се създава автоматизация и оркестриране, които водят до по-добри резултати за сигурността - по този начин има пълната видимост върху информационната верига, специалистът може да наблюдава потенциалното проникване на нападател. Ако атаката започне с RDP (Remote Desktop Protocol) връзка към мрежата и след това я използва, за да стартира PowerShell в крайната точка, това ще бъде видимо за екипа по сигурността. Наличието на този пълен контекст и видимост в набора от данни е от решаващо значение за защитата на облака в бъдеще.

Смятате ли, че киберпрестъпниците използват по-усъвършенствани и сложни инструменти и че експертите по сигурността трябва ежедневно да развиват и да обновяват своите умения и знания?

Рик Макелрой: Съвременната киберпрестъпност и някои атаки на ниво цели държави се стремят да усъвършенстват изнудването за кибероткуп. От онова, което виждаме, не развитието на зловредния софтуер води до пробива най-често. Проблемът е лошата киберхигиена, която ние можем да определим като основна за сигурността. В много случаи нападателите могат да използват компрометирания профил, за да влязат в мрежата и да стартират своята злонамерена дейност. Ето защо виждаме развитието на тази нова тенденция за повсеместно прилагане на стратегията за "нулево доверие", което в действителност означава да се разбере какво правят идентифициралите се профили по всяко време и в какъв контекст го правят, така че екипът по сигурността ще определи кога те започват да правят нещо злонамерено.

Връщайки се към предимствата на вграждане на сигурността в инфраструктурата, мога да поставя това в по-широк контекст. Не става въпрос само за мрежата, идентифицираща някои проблеми. Не става въпрос само за сървърите и за крайните устройства. Цялостната картина е това, което ни дава предимство пред други решения. Така можем да гарантираме, че улесняваме откриване и отстраняване на уязвимости през целия жизнен цикъл. Рисковете могат да бъдат идентифицирани и отстранени възможно най-бързо в цялата инфраструктура.

Carbon Black е придобита от VMware през 2019 г. Мисля, че това е едно от най-интригуващите неща за нашия бизнес - да го интегрираме в други продукти като Workspace ONE с невероятното количество оркестрация и автоматизация. Така че Carbon Black се разраства не само чрез достъп до много клиенти, но и по отношение на сигурността в продуктите на VMware. Разработихме някои функции като "лов на заплахи", което означава, че специалистите по сигурността активно "обикалят" около набори от данни и системи, търсейки неприятели в своите среди. Според най-новия ни доклад GSI над една трета от компаниите по целия свят са разработили екипи за "лов на заплахи". Това е отличен пример за необходимостта от допълнително образование в резултат на усъвършенстваните заплахи. Днес това се разглежда като друга стандартна област за информационната сигурност (InfoSec), ставаща не препоръчителна, а задължителна с множество образователни инициативи в тази област.

Дали сигурността ще разчита изцяло на изкуствен интелект, или по-сложните системи ще се нуждаят от контрол от хората?

Рик Макелрой: Въз основа отново на проучването днес екипите по сигурността виждат добавена стойност в изкуствения интелект (AI) и машинното обучение (ML). Обикновено това предполага сортиране на мащабните масиви от данни, които се генерират всеки ден. Ако се върнем към контекста на онова, което правят нападателите, науката за данните, ИИ и машинното обучение са съсредоточени върху този проблем днес, но има възражения срещу тях. Повечето мениджъри по информационна сигурност (CISO) отбелязват допълнителни рискове, защото това е нова дисциплина, нови технологии. И макар че те виждат добавена стойност в облака, доставчиците, имплементиращи тези технологии, няма да ги изграждат сами, защото това е високо специализиран набор от умения. Това е една от областите, от които ние, VMware, силно се интересуваме в световен мащаб - наемане и набиране на специалисти, за да привлечем най-добрите таланти в областта на ИИ и машинното обучение. Индустрията отчита подобрение по отношение на обучителните модели за сигурност, защото ако "върнем лентата назад" към началото на машинното обучение, разработчиците не разбираха правилно сигурността. Трябваше да отделят известно време, за да разберат какво правят нападателите и как работи защитата, за да създадат по-добре контролирани модели за ученето на изкуствения интелект.

Какво прави VMware по-различно от останалите технологични компании, фокусирани върху киберсигурността?

По принцип нашата технология работи малко по-различно от много други инструменти, налични на пазара. Ние работим от центъра за управление на данни на клиента - там трябва да има пълна видимост към техниките, тактиките и процедурите на нападателите, за да се взима най-доброто решение за предотвратяване, откриване и реагиране на тези атаки. Така чрез един лек агент нашата технология предоставя още множество функции. Една от тях е защита от зловреден софтуер. Начинът, по който го правим, е коренно различен от други производители на антивирусни решения. Обикновено антивирусната програма работи в определен момент от време, което означава, че изпълним файл се качва в системата и след това се опитва да се стартира. Това означава, че повечето технологични продукти взимат решение от гледна точка на крайното устройство дали този изпълним файл е добър или зловреден и на тази база ще го оставят да работи или не.

Нашата технология записва непрекъснато събитията и ги сравнява с нормалното състояние на системата, за да определи кога се изпълнява опасно или безопасно действие. Така че ние не вземаме решение в даден времеви момент; нашите решения са непрекъснати. Записването на данни е постоянно и то се пренасочва към нашия облак, където използваме машинно обучение, за да открием дадено поведение и модел на атака. Когато започнахме да разработваме решението, ние включихме някои други наши продукти, които не бяха облачно базирани. Например, ако разгледаме продукт за откриване и реакции на крайните устройства, той разполага с най-широкия набор от данни за поведение на устройството. Сега тази услуга се доставя в същия сензор, който осигурява и защита на крайните устройства и контрол на зловредния софтуер. Освен това сме включили функционалност за мащабируем одит на целия парк от крайни точки.

Освен това успяхме да намалим изчислителните нужди и да записваме най-широкия набор от данни. Това ни дава предимство пред останалите продукти да спираме тези атаки на момента. По-общо казано, това решение е внедрено в цялата инфраструктура на VMware. Ако вземем за пример продукт като Workspace ONE, той наистина е проектиран да "изтъни" повърхността за атака към крайните точки и мобилните устройства, а след това да разгърне еднородната защита на всички крайни устройства. Нашите екипи за бекенд системите работят върху интегрирането и внедряването на нашата технология във всяко пакетно решение, което VMware доставя.

Например, ако инсталирате vSphere сървър, вие сте клиент на VMware и нашата технология за сигурност е включена като част от това внедряване. Това е начинът, по който елиминирахме необходимостта да инсталираме сензори в дадена среда. Това съкращава времето от идентифициране на риска до превенция на риска приблизително стократно. Едно от ключовите предизвикателства за всеки, който защитава крайната точка, е, че трябва да премахне и замени вече съществуващ инструмент, което налага прекъсване на работния процес на потребителя. Затова вашето решение трябва да бъде незабележимо и да се интегрира прозрачно. След това екипът по сигурността и ИТ имат нужда да виждат и обсъждат един и същ набор от данни, иначе може да се създаде контекстен проблем в организацията. Сега VMware обединява същия набор от данни, който се използва от ИТ отдела и сигурността през единна конзола за целия парк от устройствата. Започнахме да говорим за система, която не успява да отвори на изискванията за съвместимост, тъй като няма защита на крайни точки, а сега тя съществува прозрачно и лесно се одитира, при това в голям мащаб. Това променя целия оперативен работен процес на екипите и сме много горди с това постижение.

Бихме могли да разширим същото към мрежовите екипи и интеграцията с NSX. Като бизнес отдел за крайните точки споделяме данни с NSX (платформата за мрежова виртуализация на VMware). Нашият мрежов екип може да предприеме действия по някакъв сигнал или при злонамерено поведение по отношение на крайната точка. Обикновено се случва, така че всичко това се прави ръчно. Един екип идентифицира и изпраща проблема към друг екип, а след това се организира голяма среща, за да се реши какво да се прави.

В нашия свят вече сме преминали от идентифициране на проблем към микросегментиране на част от тази среда, за да я защитим от неща като разпространение на криптовируси. Мисля, че това са критични предимства за защитниците и за ИТ екипите, които се затрудняват с подобряване на сигурността.

Има ли разлики между фиксирани крайни точки като лаптопи и компютри и мобилните устройства, тъй като много потребители вече използват различни типове мобилни приложения, включително корпоративни?

Рик Макелрой: Мобилната защита е различна от сигурността на крайната точка и сигурността на работните натоварвания. Това, което другите доставчици правят, е да приложат едно и също решение за сигурност и към работните натоварвания, и към мобилните устройства, които имат съвсем различна природа. Друго ключово предимство, което имаме като VMware, е нашата технология. Кой по-добре разбира атаките, предприети срещу същата тази технология? Уникалното съчетаване на нашите набори от данни ни дава предимство и ни позволява да проектираме персонализирани решения за сигурност за работни натоварвания. Например, ако разгледате предложението на VMware за защита на работни натоварвания, то е различно от това, което правим за крайна точка. От гледна точка анализ на данните и от машинното обучение (ML) това е едно и също. Но нападателите търсят уязвимостите по различен начин, защото веригата от събития, които се случват при работните натоварвания и при контейнерите, са различни - ако съм с операционна система Windows или с мобилно устройство с Android. Всеки продукт трябва да бъде проектиран със "сигурност по дизайн" и да отговоря на нуждите от специален тип изчисления. Но най-общо казано, това, което индустрията прави, е просто да вземе същото решение и да го постави в друг пазарен дял. Не смятаме, че това ще бъде ефективно в дългосрочен план.

Стигаме и до екипа в София като един от най-новите във VMware. Каква е ролята на софийския екип в научноизследователската и развойна дейност на бизнес единицата за сигурност на VMware и неговата стратегия за разработване на продукти?

Екипът в България е фокусиран върху дисциплините за софтуерно инженерство. Водещите роли при нас са на разработчици и тестери, но също така имаме анализатори на данни и инженери по автоматизация на инфраструктурата. Работим в глобално свързан екип, който включва анализатори на заплахи и експерти по киберсигурност, които вграждат своята експертиза и опит в нашите продукти.

Какви са плановете за растеж на българския екип? Нуждаете ли се от повече специалисти?

Венцислав Почекански: Стартирахме екипа преди година, а днес в него имаме почти 60 души. Планираме тази година да ги удвоим, да стигнем до поне 120 души. Фокусирани сме и продължаваме да развиваме екипа в София като чиста инженерна организация. Изграждаме това, като работим заедно с нашите колеги от първоначалния екип на Carbon Black, придобит от VMware, както и с други отдели в компанията. Нашата платформа е базирана в облака и ние предоставяме основна услуга, която е достъпна в режим 24/7. Така че ние не само изграждаме тази услуга, но и я притежаваме, и я поддържаме.

Въпреки че офисът на VMware в България е в София, ние наемаме хора в цяла България. Знаем как да оперираме глобално, защото вече имаме колеги от други части на света. Миналата година по време на пандемията научихме и как да работим дистанционно дори в рамките на екипа в България. С тази експертиза ние отваряме всички наши инженерни позиции за всяко място в България. Да предположим, че кандидатът има добра интернет връзка и иска да работи с най-съвременни технологии върху вълнуващо и иновативно пространство като киберсигурността, да расте заедно с талантливи колеги от целия свят. В такъв случай нашият екип наистина е мястото, на което трябва да дойде.

Ние сме отворени и за опитни инженери, и за хора, които тепърва започват професионалната си кариера, така че имаме отворени позиции за всички нива на експертен опит. Наличието на натрупан опит в сферата на сигурността не е изискване, за да станете част от нашия екип. Търсим софтуерни инженери и тестери, анализатори на данни и инженери по автоматизация на инфраструктурата. Опитът в сферата на сигурността идва с времето. Научихме го от хора като Рик и екипа на Carbon Black, които ни осигуриха тази експертиза. Така че всеки талантлив софтуерен инженер може да кандидатства и да се присъедини към нас. Отворени сме за квалифицирани софтуерни инженери без специфични изисквания към познания в сигурността.

Какви са тенденциите в сферата на сигурността през следващите 2 до 5 години?

Рик Макелрой: Мисля, че операционните системи ще бъдат изцяло преработени през следващите 5 години, тъй като извлякохме сървъри и работни натоварвания на абстрактно ниво и ги прехвърлихме в облака. Мисля, че настолните компютри и мобилните устройства са следващите. Чувал съм за много проекти (не непременно проекти на VMware), които се случват в момента и които трябва да започнат да променят начина, по който гледаме на операционните системи, тъй като те са инсталирани на крайните точки днес. Мисля, че бъдещето се насочва към централизирани изчисления, отколкото тази тежест да пада върху крайните устройства. Не знам кой ще спечели от това, но темата активно се дискутира в R&D екипите.